任意の要求はHTTPSを介して行われる場合に安全であり、トークンは、次のように送信される。トークンベースの認証は
a)のX-FOOBAR-TOKENようなHTTPヘッダーとhttps://foo.dom/foobarをGET)https://foo.dom/foobar?auth_token=abcxyz
BをGET :abcxyz
私はSSLを理解しているので、HTTP要求の場合、クライアントは最初にSSL接続をネゴシエートし、安全な接続が正常に確立された場合にのみ追加のパラメータやHTTPヘッダーを送信します。
私はこれまでのところですか?
Thx fur任意の提案。 フェリックス
SSLはトランスポートの暗号化を購入するので、誰も認証トークンがサイトから送信されている間に邪魔になることはありません。 SSLに対抗できるman-in-the-middle攻撃がいくつかありますが、一般にSSLはトークンのコンテンツを保護する必要があります。
トークンit-selfが暗号的に安全であるかどうかは、セキュリティを作り出すかどうかということです。それが真実ならば、あなたは金色です。このサイトをチェックしてくださいhttp://web.mit.edu/kerberos/dialogue.html。
認証用に秘密トークンを使用するサイトは他にもたくさんあります(http://docs.amazonwebservices.com/AmazonS3/latest/dev/index.html?RESTAuthentication.htmlを参照)。
この詳細な回答のために、Shawn、thx!私の一日を作った。 – GeorgieF
あなたはようこそ! :D –
セキュリティがSSLの存在下にある場合は、Webサーバーを平文にすることができないようにしてください。 – Marcin
もちろん、私の場合はssl_requirementが私のためにこれを行います。 – GeorgieF